Эксперты Positive Technologies рассказали о результатах тестированиий на проникновение, проведенных для организаций в 2023 году. Исследователи верифицировали возможность реализации 90% недопустимых событий, дополнительно обозначенных заказчиками. Эксперты выяснили, что каждая третья выявленная уязвимость имела критический или высокий уровень опасности. Большинство из них связано с наличием устаревшего программного обеспечения в информационных системах компаний.
Исследователи проанализировали результаты проектов по внутренним и внешним пентестам в российских организациях в различных отраслях: ИТ (25%), финансовой сфере (23%), промышленности (13%) и других. В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% представляли серьезную опасность. Основными причинами неудовлетворительного состояния защищенности организаций стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики. Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены в ходе внутреннего пентеста в 38% организаций. Уязвимости, которые уже используются в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время, называются трендовыми. Их необходимо устранять в первую очередь.
Результаты исследования показали, что основными причинами успешного проникновения во внутреннюю инфраструктуру организаций стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN и Citrix).
«Чтобы избежать появления трендовых уязвимостей в инфраструктуре компаний, эксперты Positive Technologies рекомендуют вовремя обновлять ПО, а также использовать системы управления уязвимостями. Например, MaxPatrol VM: информация о трендовых уязвимостях поступает в продукт в течение 12 часов. Начиная с версии 2.5 система нового поколения анализирует защищенность веб-приложений. Это позволяет узнавать об уязвимостях и на периметре, и в ключевых системах внутри инфраструктуры. Благодаря этому эксперты могут вовремя среагировать и принять меры по усилению защищенности», — комментирует Григорий Прохоров, аналитик исследовательской группы Positive Technologies.
В подавляющем большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности. Кибератаки низкого уровня сложности может проводить нарушитель, который имеет лишь базовые знания и пользуется общедоступными эксплойтами и автоматизированным ПО для проведения атак. Например, в таких векторах можно задействовать две уязвимости в Microsoft Exchange с общедоступными эксплойтами: первую — для удаленного выполнения кода (CVE-2022-41082), вторую — для повышения привилегий (CVE-2022-41080). Эксплуатация такой комбинации уязвимостей позволит злоумышленнику проникнуть внутрь системы и повысить привилегии на узле. Это может привести к реализации недопустимых для организации событий.
Эксперты рекомендуют компаниям уделить особое внимание парольной политике, безопасности веб-приложений и уязвимостям продуктов сторонних вендоров, используемых в информационных системах. Для усиления безопасности веб-приложений необходимо внедрять регулярный анализ защищенности, методы безопасной разработки и управления уязвимостями, а также использовать межсетевые экраны уровня приложений. Кроме того, важно использовать системы мониторинга инфраструктуры компаний. Например, MaxPatrol SIEM, который оперативно обнаруживает подозрительную активность в ИТ-инфраструктуре и своевременно сообщает о ней специалистам. Для снижения риска рекомендуется регулярно обновлять программное обеспечение, следить за уведомлениями о новых уязвимостях и патчах безопасности.
Оригинал публикации на сайте CISOCLUB: "Positive Technologies: треть выявленных в российских компаниях уязвимостей имели критическую и высокую степень риска".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
